시스템 장애 선례 봤을 때 '최소' 보상만 할 수도
세계 항공, 통신, 금융 서비스가 MS 시스템 장애로 피해를 봤다. 에러가 발생한 기기 수는 850만대로 추산되며, 정상화까지 상당 시간이 소요될 전망이다. 추산 피해액은 10억달러(1조3882억원) 규모다. 하지만 대규모 IT 솔루션 사고 발생 기업이 현금으로 보상했던 전례가 거의 없었던 만큼, 보상 규모가 예상보다 적을 수 있다.
22일 IT업계에 따르면 19일 오후부터 마이크로소프트(MS)의 윈도10 운영체제를 탑재한 기기에서 장애가 발생했다. 보안 소프트웨어인 크라우드 스트라이크(CRWD) 프로그램을 업데이트하는 과정에서 윈도10 운영체제와 충돌이 있었고 이것이 시스템 장애로 이어졌다. MS는 자체 클라우드 서버에서 문제가 된 파일을 삭제했고 크라우드 스트라이크는 새로운 패치 파일을 내놓았지만, 시스템 완전 정상화까지는 2주 이상 걸릴 전망이다.
IT 업계는 MS발 서비스 대란 사태가 예견된 결과라고 지적한다. 클라우드에서 일반 회사 등이 사용하는 기기를 관리하는 중앙집중화 방식 시스템이 IT 업계 트렌드이며, 중앙에서 문제가 발생할 경우 클라이언트 PC 에러를 막을 방법이 없다. MS 대란이 비껴간 한국처럼 클라우드 서비스를 도입할 때 하나가 아닌 두개 이상의 클라우드를 정책적으로 적용하지 않는 한 예견된 결과라는 것이다.
MS 사태의 피해액 규모는 상상 이상이다. 패트릭 앤더슨 미 앤더슨 이코노믹그룹 최고경영자(CEO)는 CNN과의 인터뷰에서 글로벌 IT 대란 관련 비용이 10억달러(1조3882억원) 이상이라고 평가했다. 당장 발생한 피해액에 이어 추가적인 손실까지 고려하면, 피해액은 눈덩이처럼 불어날 수 있다. 최악의 경우 기업 간 소송도 고려해야 한다.
MS는 우선 CRWD와 책임 공방을 펼칠 전망이다. 하지만, 사고 자체가 해커의 공격으로 발생한 것이 아닌 만큼 논쟁의 여지가 있다. CRWD 솔루션은 엔드 포인트 보안 즉 클라우드를 사용하는 고객의 PC와 같은 단말기 보안을 책임진다. 실시간으로 보안 위협을 탐지하는 중 문제가 생기면 즉시 대응하는 솔루션이다. 이번 사고는 MS 윈도10의 핵심 구성요소와 CRWD의 팔콘 센서 업데이트 파일이 충돌하면서 발생했다. 보안 이슈와 관련이 없는 사고여서 CRWD의 책임이라고 선을 긋기 어렵다. MS가 CRWD 업데이트 파일에서 발생할 수 있는 문제를 사전에 파악할 수 있었던 것 아니냐고 볼 수 있다.
기업이 입은 피해에 따른 보상 규모 역시 추산이 어렵다. 앤더슨 CEO는 10억달러 규모라고 평가했지만, 최근 발생한 시스템 중단 사례를 볼 때 보상액을 더 적을 수 있다.
2021년 미 클라우드 기업 패스틀리(Fastly)에서 발생한 장애로 뉴욕타임스, BBC 등 세계 주요 언론사 웹사이트가 수분에서 1시간 동안 마비됐다. 영국 정부 웹사이트, 페이팔, 트위치 등도 접속 장애 피해를 봤다. 패스틀리가 사건 후 지급한 보상규모는 기업 간 비밀유지 계약 등으로 정확하게 알려지지 않았지만, 피해 규모는 7500만달러(1041억원) 수준으로 추산됐다. IT 업계에서는 패스틀리가 고객사에 서비스 크래딧을 제공하는 방식으로 보상했을 가능성이 높다고 분석했다.
클라우드 컴퓨팅 기반 사용자 계정 관리 서비스 기업인 옥타는 2023년 10월 고객 지원 시스템 해킹 사고를 냈다. 고객 중 2.5%에 해당하는 366개 고객사 정보가 유출됐는데, 금전 보상은 하지 않았다. 일부 소송 등 과정은 있었지만, 락인 효과가 큰 소프트웨어 특성 상 전환 비용 리스크를 감내하면서까지 솔루션을 교체하기 어렵고 기술 대체제를 찾는 것이 쉽지 않기 때문에 가능한 일이었다.
MS와 CRWD의 솔루션을 대체제 적용도 어렵다. 옥타의 경우처럼 손실 피해를 막을 개연성이 높다. 우선, MS의 윈도10을 대체할 수 있는 운영체제는 사실상 없다. CRWD 솔루션 역시 마찬가지라는 평가를 받는다. CRWD는 최근 빠르게 성장한 보안 기업이다. 2011년 창업한 후 8년만에 상장했다. 2013년 투자자를 모집할 때 기업가치는 1억달러, 상장 첫날 시가총액은 67억달러(9조2983억원)였다. 연평균 50%씩 성장했고, 2023년말 기준 매출액은 22억달러다. CRWD의 팔콘 솔루션을 대체할 수 있는 엔드포인트 보안 플랫폼이 있다면 모를까, 시장에서 CRWD를 위협하는 회사는 아이러니하게도 MS다. 엔드포인트 시장점유율은 두 회사 모두 17~19%다.
CRWD의 약관에 따르면, 고객은 서비스를 위해 지불한 비용만 환불 요청을 할 수 있다. 더 큰 금액을 요구할 수 있다는 내용은 없다. 미 경제매체 비즈니스 인사이더 보도에 따르면, CRWD의 약관에 따라 회사가 책임질 보상액은 고객사가 지불한 사용료 중 일부로 제한되는 만큼 소송이 벌어질 수 있다.
김수진 미래에셋증권 애널리스트는 "MS 대란 사고는 외부의 공격이 아닌 클라우드 인프라 구조상 발생한 문제다"라며 "클라우드 기업과의 서비스 수준 협약(SLA) 떄문에 지금까지 현금 보상을 한 기업은 거의 없으며, MS와 CRWD 두 기업의 싸움으로 번질지 아니면 다른 기업에 수혜가 돌아갈 지 조금 더 지켜봐야 한다고 판단한다"고 말했다.
해외에서 보상 관련 논의가 이뤄지겠지만, 한국에서 피해를 본 게임 업계도 관련 논의에 들어간 것으로 알려졌다. 한국 게임사 중 글로벌 IT 대란의 피해 기업은 그라비티, 펄어비스 등이다. 게임 업체는 약관에 따라 피해를 본 게이머들에게 보상을 제공해야 하는 만큼, MS로부터 손실액을 보상받아야 한다.
MS는 사고 수습이 우선이라는 입장이다. MS 관계자는 고객, CRWD, 외부 개발자와 지속적으로 소통해 정보를 수집하고 신속하게 해결책을 마련하고 있다고 밝혔다.
디일렉=이진 전문기자 [email protected]
